Укрепление безопасности КИИ: детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127

С 01.09.2025 вступят в силу изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ). Параллельно на стадии общественного обсуждения находится проект изменений Постановления Правительства Российской Федерации от 08.02.2018 № 127 (далее – 127-ПП), а также отраслевые особенности категорирования и перечень типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ), реализующие механизмы исполнения изменений, внесенных в 187-ФЗ.

Изменения в 187-ФЗ стали почвой для изменений в других подзаконных нормативных правовых актах. В совокупности изменения усиливают акценты на импортозамещении и отраслевом управлении, а также формируют новую модель категорирования объектов КИИ.

Напомним, что изменения внесены Федеральным законом от 07.04.2025 № 58
«О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и вступают в силу с 01.09.2025.
Ключевые направления изменений:

1.Расширение полномочий Правительства Российской Федерации (далее – РФ). Правительство получает право:

a. утверждать перечни типовых отраслевых объектов КИИ;
b. формировать отраслевые особенности категорирования объектов КИИ;
c. устанавливать требования к программному обеспечению (далее – ПО) и программно-аппаратным комплексам (далее – ПАК), включая порядок и сроки перехода, организовывать мониторинг и контроль за соблюдением требований.

2.Фокус на импортозамещении. На текущий момент установлен запрет использования средств защиты информации из «недружественных» стран, а также введены требования по переходу на отечественное ПО и доверенные ПАК для субъектов КИИ, подпадающих под действие Федерального закона от 18.07.2011 № 223-ФЗ. После 1 сентября, возможно, аналогичные меры затронут и иные объекты КИИ.

3.Новые обязанности субъектов КИИ. Теперь субъекты КИИ обязаны:

a. учитывать отраслевые особенности и методики при категорировании объектов;
b. мигрировать на отечественные решения;
c. взаимодействовать с НКЦКИ и центрами ГосСОПКА в случае инцидентов и компьютерных атак;
d. предоставлять сведения о применяемом ПО по требованию надзорных органов.

Таким образом, изменения в 187-ФЗ – это еще один шаг к обеспечению технологической независимости и безопасности КИИ, а также совершенствование механизмов категорирования объектов КИИ: процедура будет учитывать отраслевые требования, но категорирование придется проходить снова с учетом принимаемых изменений.

Проект изменений в 127-ПП разработан в соответствии с новыми положениями 187-ФЗ и вносит изменения, направленные на совершенствование механизмов категорирования объектов КИИ и учет отраслевых требований. Среди основных изменений:

1. Исключен термин «критический процесс».

2. Изменены основания для категорирования:

a. объект КИИ подлежит категорированию, если он включен в утвержденные отраслевые перечни;
b. возможно категорирование «нестандартных» объектов, если последствия инцидентов соответствуют установленным критериям значимости.

3. Уточнен состав и порядок работы комиссии по категорированию:

a. субъект КИИ может включать в состав комиссии дополнительных специалистов в соответствии с отраслевыми особенностями;
b. случаи расформирования комиссии теперь также могут быть определены отраслевыми особенностями.

4. Дополнен состав и порядок пересмотра сведений о результатах категорирования:

a. включаются доменные имена и сетевые адреса, если объект КИИ взаимодействует с сетью Интернет – ожидаем корректировки Приказа ФСТЭК России от 22.12.2017 № 236;
b. предусмотрены дополнительные основания для пересмотра категории значимости: теперь категория значимости пересматривается при изменении отраслевых особенностей;
c. введен механизм уведомления Федеральной службы по техническому и экспортному контролю о «нетиповых» объектах и направления предложений о дополнении перечней.

5. Уточнены и дополнены показатели критериев значимости:

a. детализированы последствия сбоев в транспортной инфраструктуре (по типам нарушенных перевозок и по категориям объектов транспортной инфраструктуры), связи, органах власти, банковской сфере;
b. добавлены показатели для микрофинансовых организаций и бюро кредитных историй;
c. учтена степень участия субъекта КИИ в гособоронзаказе (теперь под 3 (третью) категорию подпадают соисполнители, субподрядчики и поставщики части продукции, работ и услуг в рамках контрактов по гособоронзаказу);
d. понятия «прекращение» и «нарушение» функционирования теперь соотносятся с проектным или штатным режимом функционирования, а конкретные значения могут устанавливаться в отраслевых особенностях.

Эти изменения повышают технологическую обоснованность категорирования, позволяют учитывать специфику отрасли и минимизировать риски ошибок при отнесении объектов к значимым.

Существенным изменением становится внедрение отраслевых указаний и перечня типовых отраслевых объектов КИИ. Такие документы уже разработаны и применяются, но в соответствии с изменениями 187-ФЗ и проектом изменений в 127-ПП ожидается их пересмотр и издание на уровне Правительства РФ.

Перечни типовых отраслевых объектов КИИ сейчас проходят стадию общественного обсуждения и представляют собой общий свод ранее утвержденных перечней объектов КИИ по отраслям.

Отраслевые особенности также проходят стадию общественного обсуждения, например:

• для сферы связи – разработаны Министерством цифрового развития, связи и массовых коммуникаций РФ;
• для топливно-энергетического комплекса и энергетики – разработчиком является Министерство энергетики РФ;
• в области атомной энергии – предложены Госкорпорацией «Росатом».

Методические рекомендации и перечни типовых объектов обеспечивают единообразие подходов и позволяют учитывать отраслевую специфику при категорировании.

1.Проведите диагностику:

a. проведите оценку соответствия требованиям 187-ФЗ, в том числе в части соответствия отраслевым особенностям и актуальным Правилам категорирования;
b. проверьте наличие ваших объектов в отраслевых перечнях

2. Подготовьте данные

a. зафиксируйте штатный или проектный режим функционирования всех объектов;
b. соберите информацию по доменам и IP-адресам, если объекты имеют доступ к сети «Интернет».

3. Планируйте импортозамещение:

a. разработайте реалистичный план перехода на отечественные ПО и ПАК с учетом сроков, рисков и приоритетов.

Уральский центр систем безопасности (УЦСБ) предлагает практические решения для субъектов КИИ в условиях обновленного регулирования:

1. Аудит соответствия 187-ФЗ – выявим риски и подготовим рекомендации.

2. Услуги по категорированию – выявим объекты и проведем категорирование с учетом отраслевых особенностей.

3. УЦСБ SOC – мониторинг 24/7, первые уведомления уже через 14 дней.

4. Записи наших вебинаров по безопасности КИИ, ответы на частые вопросы или другие полезные материалы на нашем сайте.

Изменения в 187-ФЗ и 127-ПП – это не просто корректировка формулировок. Это фундаментальные изменения, которые требуют системного подхода и проактивной позиции со стороны компаний. Начать подготовку лучше уже сейчас – чтобы 1 сентября не застало врасплох.

Если хотите получить план действий по импортозамещению или поддержку в категорировании – обратитесь в УЦСБ. Мы готовы быть рядом на каждом этапе!